Sicurezza

Offriamo soluzioni di sicurezza per la rete che si distinguono in:

  • soluzioni per l’accesso sicuro da e verso Internet (routing/firewall/vpn con IPSec, OpenVPN e L2PT) e la gestione della banda (quality of service – QoS, ridondanza di linee)
  • soluzioni di navigazione sicura (web proxy, content filtering basati su Squid, DansGuardian, ClamAV e SmoothWall)
  • soluzioni di intrusion detection (IDS basate su Snort)

Basate su tecnologie consolidate, le soluzioni per l’accesso da e verso intenet consentono la realizzazione di firewall (iptables) e di gestire la banda. Su queste tecnologie è possibile realizzare sistemi di accesso remoto alla rete aziendale via VPN su tecnologia SSL con openVPN supportata dalle più comuni piattaforme (Windows, Linux, MacOSX, PDA, Smartphone, ecc.)

Per le soluzioni di navigazione sicura, proponiamo due soluzioni distinte:

  1. soluzione strettamente open-source basata su un servizio di proxy web costituito da Squid (caching proxy), Dansguardian (filtro avanzato dei contenuti in base a categorizzazione dei siti: reverse proxy, webmail, pornografia, violenza, …) e ClamAV per il controllo antivirus.
  2. soluzione appliance SW a licenza basata su Network Guardian della Smoothwall che offre le medesime caratteristiche del sistema strettamente open source con la differenza di rendere disponibile una interfaccia completa per l’amministrazione e consentire l’aggiornamento automatico delle categorie su cui il filtro dei contenuti opera

Per le soluzioni di intrusion detection, utilizziamo l’applicativo Snort per il controllo di attacchi provenienti dalla rete pubblica. A questo software di NIDS (Network Intrusion Detection System), vengono poi affiancati software per il controllo di integrità dei principali file di sistema e per il controllo dei log al fine di consentire reazioni automatiche al tentativo di attacco oltre che avvisi agli amministratori di rete.

Firewall

Un firewall (termine inglese dal significato originario di parete refrattaria, muro tagliafuoco, muro ignifugo; in italiano anche parafuoco o parafiamma) è un componente passivo di difesa perimetrale che può anche svolgere funzioni di collegamento tra due o più tronconi di rete. Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende l’intera Internet  mentre l’altra interna, detta LAN (Local Area Network), comprende una sezione più o meno grande di un insieme di computer locali. In alcuni casi è possibile che si crei l’esigenza di creare una terza sottorete detta DMZ (o zona demilitarizzata) adatta a contenere quei sistemi che devono essere isolati dalla rete interna ma devono comunque essere protetti dal firewall.

Una prima definizione chiusa di firewall è la seguente:
Apparato di rete hardware o software che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa.
In realtà un firewall può essere realizzato con un normale computer (con almeno due schede di rete e software apposito), può essere una funzione inclusa in un router o può essere un apparato specializzato. Esistono inoltre i cosiddetti “firewall personali”, che sono programmi installati sui normali calcolatori, che filtrano solamente i pacchetti che entrano ed escono da quel calcolatore; in tal caso viene utilizzata una sola scheda di rete.
La funzionalità principale in sostanza è quella di creare un filtro sulle connessioni entranti ed uscenti, in questo modo il dispositivo innalza il livello di sicurezza della rete e permette sia agli utenti interni che a quelli esterni di operare nel massimo della sicurezza. Il firewall agisce sui pacchetti in transito da e per la zona interna potendo eseguire su di essi operazioni di:

  • controllo
  • modifica
  • monitoraggio

Questo grazie alla sua capacità di “aprire” il pacchetto IP per leggere le informazioni presenti sul suo header, e in alcuni casi anche di effettuare verifiche sul contenuto del pacchetto.

Backup

Operazione atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro o server. L’attività di backup è un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, ecc., ci si assicura che esista una copia dei dati, pertanto l’esecuzione del backup è quasi sempre automatica e svolta normalmente con una periodicità stabilita (per esempio una volta al giorno o alla settimana).
La maggior parte dei personal computer dispone di un programma di backup e solo i server appositamente equipaggiati contengono un servizio nativo automatico.
Nelle aziende il tipo di backup e la relativa periodicità sono solitamente regolati da una apposita procedura aziendale ed è soggetto a verifica periodica e altre procedure che comportano un intervento manuale. Il responsabile della sicurezza è tenuto ad annotare i controlli periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il backup normalmente devono essere di tipo e marca approvati nella procedura ed è necessario che siano periodicamente verificati e sostituiti. Devono inoltre essere conservati in accordo con le politiche di sicurezza aziendale, per esempio, ma non solo, per questioni legate alla privacy.

Ridondanza

La ridondanza è definita come l’esistenza di più mezzi per svolgere una determinata funzione, disposti in modo tale che un guasto del sistema [1] possa verificarsi solo in conseguenza del guasto contemporaneo di tutti questi mezzi.
In pratica la ridondanza in ingegneria consiste nella duplicazione dei componenti critici di un sistema con l’intenzione di aumentarne l’affidabilità, in particolare per le funzioni di vitale importanza per garantire la sicurezza delle persone e degli impianti o la continuità della produzione. D’altra parte, poiché l’introduzione di ridondanze aumenta la complessità del sistema, le sue dimensioni fisiche e i costi, generalmente esse sono utilizzate solo quando i benefici derivanti sono maggiori degli svantaggi sopra citati.